通过 EWS 托管 API 与 Exchange Online 交谈时刷新访问令牌

Question

我正在编写一个应用程序以使用 EWS 托管 API 与 Exchange Online 通信，并使用 ADAL 库通过 OAuth 2.0 对我的应用程序进行身份验证。

访问令牌将在 60 分钟后过期。之后我需要刷新访问令牌。目前，我正在 StreamSubscriptionConnection OnNotificationEvent 处理程序以及我的 OnDisconnect 事件处理程序中执行此操作，以使用以下代码刷新 OAuth 访问令牌。

private void OnNotificationEventHandler(object sender, NotificationEventArgs args)
{
    exchangeService.Credentials = new OAuthCredentials(GetOAuthAccessToken().Result);

    // Do my work
}

我还在我的 OnDisconnect 事件处理程序中添加了相同的刷新访问令牌代码，因为 StreamSubscriptionConnection 最多只能保持打开 30 分钟。

private void OnDisconnectEventHandler(object sender, SubscriptionErrorEventArgs args)
{
    exchangeService.Credentials = new OAuthCredentials(GetOAuthAccessToken().Result);
    streamingSubscriptionConnection.Open();
}

这是我的访问令牌代码。

private async Task<string> GetOAuthAccessToken(PromptBehavior promptBehavior = PromptBehavior.Auto)
{
    var authenticationContext = new AuthenticationContext(myAadTenant);

    var authenticationResult = await authenticationContext.AcquireTokenAsync(exchangeOnlineServerName, myClientId, redirectUri, new PlatformParameters(promptBehavior));

    return authenticationResult.AccessToken;
}

即使认为上述方法“有效”，我觉得这不是处理这种情况的最佳方法，因为我几乎需要确保在与 EWS 通信时刷新我的访问令牌。如果我添加了另一个事件处理程序并且我忘记在事件处理程序中添加令牌刷新逻辑，如果我的访问令牌过期并且我需要在事件处理程序中调用 EWS，我可能会在处理该事件时得到 401。

上面的代码被简化了，我可以在与 EWS 通信时使用 try catch，如果我得到 401，我会刷新我的访问令牌并重试，但这并不能解决我上面提到的不便。

我认为应该有一种更简单的方法来处理问题，但我没有找到正确的文档。这是我在开发时参考的材料。 https://blogs.msdn.microsoft.com/webdav_101/2015/05/11/best-practices-ews-authentication-and-access-issues/

Answer 1

另一种方式是，当您通过 EWS 托管 API 与 Exchange 在线通信时，您需要提供 exchangeService 对象。并且您需要为每个请求捕获 401 异常，并且在遇到此异常后，您需要为 exchangeService 对象重新设置 Credentials 属性或重新创建此对象。

Answer 2

我同意应该有更好的方式来处理令牌刷新。如果 EWS API 本身可以管理令牌刷新，那就太好了，但作为一种解决方法，我所做的是......

将对 EWS 服务的引用放入公共/内部属性中）。然后我们需要确保该属性是 EWS 服务的单一访问点。

总的来说，这看起来像

public class Mailbox 
{
    private ExchangeService exchangeService;

    public ExchangeService ExchangeService
    {
        get
        {
            if (this.exchangeService == null)
            {
                // Initialise the service
                CreateExchangeService();
            }
            else
            {
                // Ensure token is still valid
                ValidateAuthentication();
            }

            return this.exchangeService;
        }
    }
}

我不打算详细说明 CreateExchangeService，但 ValidateAuthentication 是对 EWS 的基本调用，如果未经身份验证将引发异常

private void ValidateAuthentication()
{
    try
    {
        Folder inbox = Folder.Bind(this.exchangeService, WellKnownFolderName.Inbox);
    }
    catch //(WebException webEx) when (((HttpWebResponse)webEx.Response).StatusCode == HttpStatusCode.Unauthorized)
    {
        RefreshOAuthCredentials();
    }
}

RefreshOAuthCredentials 只会刷新令牌。同样，我在 StreamingSubscription 上也有一个 OnDisconnect 事件处理程序，它将尝试重新打开连接（如果重新打开失败则重新验证）。为简洁起见，此处均未显示。

主要的一点是，我们现在有一个对 EWS 服务的引用，该服务在每次调用之前执行身份验证检查和重新验证（如果需要）。例如绑定到邮件消息看起来像..

var mailMessage = EmailMessage.Bind(this.mailbox.ExchangeService, itemId);

毫无疑问，这会增加流量/延迟，如果有更好的方法可以避免这种情况。如果有人有更好的方法 - 我全神贯注！